Fortinet представила новую песочницу для расширенного обнаружения угроз

Александр Панасенко 21 Ноября 2013 - 10:43

Малый и средний бизнес

Fortinet

Сетевые экраны для рабочих станций (Firewall)

Сетевая защита от целевых атак (NIPS)

Сетевая безопасность

Межсетевые экраны нового поколения (NGFW)

...

Fortinet представила новую песочницу для расширенного обнаружения угроз

Fortinet сообщила о выпуске FortiSandbox-3000D. Это передовое устройство предоставит предприятиям мощный инструмент по борьбе с целенаправленными устойчивыми угрозами (APTs). Новое решение функционирует вместе с межсетевыми экранами нового поколения Fortinet FortiGate (NGFW) и шлюзом для защиты электронной почты FortiMail и сочетает в одном устройстве уникальный сервис двухуровневой песочницы, динамический анализ угроз, приборный интерфейс в реальном времени и подробную отчётность.

Межсетевые экраны нового поколения Fortinet выступают в качестве первой линии обороны, сканируя и снижая уровень угроз. При их использовании вместе с FortiSandbox, они способны выявлять и проверять подозрительные файлы, а затем устанавливать обновлённый уровень защиты на основе полного жизненного цикла угрозы. С помощью новой версии FortiMail 5.1, шлюзы для защиты электронной почты от Fortinet могут выявлять подозрительные сообщения и переправлять их на FortiSandbox для подробного анализа.

Коротко о FortiSandbox

Решение FortiSandbox-3000D может быть развернуто само по себе без каких-либо изменений в сетевых конфигурациях. Или, как уже упоминалось, устройство может также быть интегрировано в платформы FortiGate и FortiMail для улучшенного обнаружения и снижения числа угроз.

В соответствии с концепцией разработки новой продукции Fortinet, в одном доступном и высокоэффективном устройстве FortiSandbox объединены возможности для обнаружения угроз, а также функции обнаружения вредоносной деятельности через протоколы. В основе решения находится двухуровневая “песочница” для эффективной работы по сложной методике на уровене виртуальных устройств (VM) с усложняющимися атаками, требующими более продвинутого контроля.

«Сегодня самым продвинутым взломщикам всё чаще удаётся обойти традиционные антивредоносные решения и установить постоянную слежку внутри сети», - заявил Джон Грейди (John Grady), научный руководитель по решениям безопасности в IDC. «Эти целевые атаки способны обойти защиту, основанную на анализе сигнатур, используя методы компрессии, шифрования и полиморфизма. Некоторые варианты атак способны распознавать виртуальные среды и переходить в неактивный режим, усложняя тем самым распознание. Борьба против современных атак требует комплексного подхода, который выходит за рамки защиты от вредоносных программ, виртуальной песочницы и отдельных систем мониторинга. FortiSandbox является шагом в этом направлении».

Основные функции FortiSandbox:

Динамическая защита от вредоносных программ, на основе облачного сервиса обновлений: FortiSandbox получает обновления из лаборатории FortiGuard Labs и может посылать запросы обратно в лабораторию в режиме реального времени, позволяя незамедлительно обнаруживать уже существующие и только возникающие угрозы
Эмуляция кода: Выполнение облегчённой проверки в “песочнице” в режиме реального времени, включая запуск вредоносного ПО в специфическом системном окружении
Полная виртуальная среда: обеспечивает среду выполнения для анализа высокого риска или подозрительного кода, а также исследования полного жизненного цикла угрозы
Расширенная наблюдаемость: Позволяет получить исчерпывающие сведения о работе сетей, систем и файлов, а также классифицировать их по рискам, чтобы сократить время реакции в случае инцидента
Обнаружение обратных сетевых обращений: проводит инспекцию сетевого трафика на наличие запросов на посещение вредоносных сайтов, установление связи с серверамиC&C и другие действия, способные скомпрометировать сеть
Анализ вручную: позволяет администраторам безопасности вручную загружать образцы вредоносных программ для выполнения виртуальной песочницы без необходимости отдельного устройства
Дополнительный доступ к услугам FortiGuard: Tracer отчеты, вредоносные файлы и другая информация могут быть отправлены на исследование в лабораторию FortiGuardLabs, чтобы получить рекомендации и соответствующую обновлённую защиту

«Выпуск решения FortiSandbox является прямым ответом Fortinet на рост целенаправленных устойчивых угроз, которые используют всё более сложные методы для того, чтобы остаться незамеченными системами безопасности», - прокомментировал Андрей Роговой, Региональный директор по России и СНГ Fortinet. «Благодаря нашим многолетним исследованиям угроз и их развития, мы выяснили, что для эффективной борьбы с APT проверка файловой активности является необходимым дополнением к инспекции характеристик. Сегодня наши заказчики имеют возможность легко и с минимальными затратами проводить детальный анализ конкретных угроз в своих сетях, с дополнительным преимуществом одновременного использования решений FortiGate и FortiMail, для снижения количества угроз в режиме реального времени».

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: